nginx 脆弱性対応
nginx でバッファオーバーフローの脆弱性が見つかったとのこと。
Ubuntu のパッケージの nginx の場合はどう対応したらいいの?
アップデートの話です。
nginx 脆弱性
nginx で脆弱性が見つかり修正バージョンがリリースされています。
gihyo.jp の記事より
nginxに18年前から存在する重大な脆弱性が発見される | gihyo.jp
記事によると AI エージェントが自律的にコードを解析して発見したとのこと。
AI を使って脆弱性を調べたのでまずは脆弱性は出尽くした、となるのかな?(ならないかな?)
バージョン 1.30.1 および 1.31.0 で修正されているのでアップデートが必要です。
nginx news: 2026
PRUbuntu パッケージでの対応
Ubuntu のパッケージで nginx を入れている場合はパッケージでのアップデートをすれば OK です。
$ sudo apt update
$ sudo apt upgrade
# もしくは nginx だけのアップデートの場合は
$ sudo apt upgrade nginx
バージョンを確認してみます。
$ nginx -v
nginx version: nginx/1.24.0 (Ubuntu)
バージョン 1.30.1 か 1.31.0 かと思いきや 1.24.0 です。
バージョンは変更されていません。
パッケージでは Ubuntu のリリースごとにバージョンは固定されています。
なのでバージョンは上がりません。
ではアップデートできないのかというと、そんなことはありません。
apt policy コマンドでパッチバージョンが確認できます。
$ apt policy nginx
nginx:
Installed: 1.24.0-2ubuntu7.8
Candidate: 1.24.0-2ubuntu7.8
Version table:
*** 1.24.0-2ubuntu7.8 500
500 http://archive.ubuntu.com/ubuntu noble-updates/main amd64 Packages
500 http://security.ubuntu.com/ubuntu noble-security/main amd64 Packages
100 /var/lib/dpkg/status
1.24.0-2ubuntu7 500
500 http://archive.ubuntu.com/ubuntu noble/main amd64 Packages
Installed にある 1.24.0-2ubuntu7.8 が今インストールされているバージョンです。
また、apt changelog nginxコマンドでは nginx の修正内容が確認できます。
(内容はローカルにあるのではなく https://changelogs.ubuntu.com からとってきているようです。)
nginx (1.24.0-2ubuntu7.8) noble-security; urgency=medium
[ Thomas Ward ]
* SECURITY UPDATE: buffer overrun in ngx_http_rewrite_module
(LP: #2152577)
- d/patches/cve-2026-42945.patch: Apply upstream commit/fix
for CVE
- CVE-2026-42945
-- Marc Deslauriers <marc.deslauriers@ubuntu.com> Thu, 14 May 2026 09:55:14 +0200
今回の修正内容が表示され、対策を行ったバージョンは 1.24.0-2ubuntu7.8 です。
対策を行ったバージョンがインストールされていることが確認できたので OK です。
こういうパッチの適用は Ubuntu 側でやってくれていたのですね。
漠然とアップデートされた公式アプリがインストールされると考えていたのですが、バージョン固定なので nginx 公式のものは入れられないですね。
PR
PR